三谈小红伞的进程保护

飞天

红伞论坛 sbstom
曲中求兄的《向taskkill说NO——让红伞监控自动重启》的帖子以及晓月关于建立小红伞核心服务自保护的帖子，我有很深的感触写了这篇帖子进行深入的探讨。
首先无论是曲中求兄还是晓月兄的文章，都是对小红伞的进程进行保护。我想这一点错没有，因为在桌面用户的角度用户最直观看到就是小红伞的进程。当然对他们进行保护就理所当然，先对保护的效果好坏我不做评述，因为我不想从用户的角度去分析小红伞进行保护的问题，而是从攻击者的角度来看。


首先，大家可以做一个很有意思的实验。大家建立一个空的文本文件然后重命名为avsda.dll。然后将该文件复制到小红伞的安装目录然后从新启动计算机，怎样小红伞的监控无法打开了吧？但是只要删除该文件监控就会立即恢复正常。其实原理很简单，因为小红伞多个服务/进程都要调用SYSTEM32目录下avsda.dll，但是系统有一个问题就是他会首先搜索安装目录下是否有该DLL文件如果有那该文件的优先调用级别是高于SYSTEM32目录的，也就是说我们用一个空的avsda.dll替换小红伞所真正要调用的avsda.dll，那小红伞自然就不好用了。


其实不光是小红伞，其它的安全软件也存在这样的问题。病毒/木马作者利用这点就可以很轻松的干掉安全软件，而且在技术上这是非常简单况且我们没有对实验的DLL做任何手脚只是一个空的DLL要是作者在DLL在下以下工夫的话......

另外小红伞本身不是SYS驱动级别启动的，那一些SYS启动的木马要干掉小红伞只是多几个代码的问题。所以要想保护好小红伞普通用户就必须依靠HIPS进行AD，FD，RD的全面保护！

[ 本帖最后由 飞天 于 2007-6-20 15:07 编辑 ]

fanrubin

到底怎么保护？

mofunzone

等着8

周杰伦

晓月也发布第四了,我现在就去转载过来吧

hahacomcn

直接跑过去看算了。

booohr

确实怎么保护？？？

wxlovelhx

貌似只是提出了问题，没解决的方法啊，我现在使用ssm应该怎样来保护呢？

laooldk

微点可以保护么

applechip

如何保护？我还指望小红伞保护我呢。

atgc

AD保护进程，FD保护dll文件？也不知道要保护哪些